Python 用户创建表单Django
我试图创建一个注册表单,但我注意到,当我使用UserCreationForm呈现Python 用户创建表单Django,python,django,Python,Django,我试图创建一个注册表单,但我注意到,当我使用UserCreationForm呈现{{form.as_p}}时,所有可能的字段都会为用户显示。现在,我只希望管理员可以访问一些字段 因此,我知道您可以通过fields=(f1,f2…) 但是恶意用户是否仍然能够手动提交带有“secret”字段的POST请求,即使这些字段在技术上没有显示在表单中 我知道如何解决这个问题的唯一方法是手动验证每个字段,并自己构造模型对象,以确保用户不会接触这些“机密”字段。这似乎违背了使用UserCreationForm的
{{form.as_p}}
时,所有可能的字段都会为用户显示。现在,我只希望管理员可以访问一些字段
因此,我知道您可以通过fields=(f1,f2…)
但是恶意用户是否仍然能够手动提交带有“secret”字段的POST请求,即使这些字段在技术上没有显示在表单中
我知道如何解决这个问题的唯一方法是手动验证每个字段,并自己构造模型对象,以确保用户不会接触这些“机密”字段。这似乎违背了使用UserCreationForm的目的。有没有更好的办法
作为参考,当我的意思是破坏UserCreationField的用途时,我将无法使用
user=super(UserCreationForm,self).save(commit=True)
安全地保存?如果表单不知道该字段存在(即它不在其元类的字段列表中),然后,它不会在提交的数据中查找它的值。因此,保存表单中的数据是完全安全的
例如,假设我们有以下模型:
from django.db import models
class Person(models.Model):
name = models.CharField(max_length=100)
age = models.PositiveIntegerField(blank=True, null=True)
hobbies = models.CharField(max_length=200, blank=True, null=True)
然后我们可以编写一个LimitedCreateForm
,它只获取姓名和爱好,不设置年龄。出于测试目的,我们可以在视图中使用此表单,该视图将提交的数据和相应的创建人员转储回浏览器以进行调试:
from django.shortcuts import render
from django import forms
from testapp.models import Person
class LimitedCreateForm(forms.ModelForm):
class Meta:
model = Person
fields = ('name', 'hobbies')
def create_limited(request):
submitted = ""
new_user = None
if request.method == 'POST':
submitted = str(request.POST)
form = LimitedCreateForm(request.POST)
if form.is_valid():
new_user = form.save()
else:
form = LimitedCreateForm()
data = {
'form': form,
'submitted': submitted,
'new_user': new_user,
}
return render(request, 'create_limited.html', data)
测试的最后一步是创建一个模板,该模板显示调试数据(表单中的POST数据和创建的相应人员),并创建一个“恶意”表单,其中包含一个年龄字段:
<html>
<body>
<h1>
Submitted data:
</h1>
<p>
{{ submitted|default:"Nothing submitted" }}
</p>
<h1>
Created user
</h1>
<p>
Name: {{ new_user.name|default:"Nothing" }}
<br />
Age: {{ new_user.age|default:"Nothing" }}
<br />
Hobbies: {{ new_user.hobbies|default:"Nothing" }}
</p>
<h1>
Form
</h1>
<form method="post">
{% csrf_token %}
Name: <input type="text" name="name" id="id_name">
<br />
Age: <input type="text" name="age" id="id_age">
<br />
Hobbies: <input type="text" name="hobbies" id="id_hobbies">
<br />
<input type="submit" value="Create" />
</form>
</body>
</html>
这表明表单忽略了27岁的提交年龄,只保存了它被告知的字段
值得注意的是,如果指定要排除的字段列表(即,exclude=('age',)
而不是fields=('name','cabiods')
,则情况也是如此
<QueryDict:
{u'age': [u'27'],
u'csrfmiddlewaretoken': [u'ed576dd024e98b4c1f99d29c64052c15'],
u'name': [u'Bruce'],
u'hobbies': [u'Dancing through fields of flowers']}>`
Name: Bruce
Age: Nothing
Hobbies: Dancing through fields of flowers